Mit der EU-Datenschutz-Grundverordnung (DSGVO)1 wird das Datenschutzrecht in Europa vereinheitlicht und zum ersten Mal auf ein in jedem Mitgliedstaat unmittelbar anwendbares Gesetz gestützt. Dennoch verbleiben den Mitgliedstaaten über die Öffnungs- bzw. Spezifizierungsklauseln der DSGVO zum Teil äußerst praxisrelevante Abweichungsbefugnisse. Der deutsche Gesetzgeber hat sich in diesem Zuge zur Schaffung eines gänzlichen neuen BDSG entschieden.
Dieser Praxiskommentar soll insbesondere den im neuen BDSG erwähnten nichtöffentlichen Stellen, also Unternehmen, Verbänden, Vereinen und anderen privatwirtschaftlichen Organisationen, als praxisbezogene Kommentierung dienen, um in der entstehenden Komplexität des Zusammenspiels von DSGVO und BDSG, also europäischen und nationalen Regelungen, den Blick für das Wesentliche zu wahren.
Bereits in meiner Funktion als Sachverständiger in der Anhörung des Innenausschusses des Bundestages zum Entwurf des neuen BDSG im März 2017 hatte ich an mehreren Stellen auf die rechtliche Unsicherheit verwiesen, die einige Regelungen des BDSG bei den Anwendern, sowohl in der Wirtschaft aber auch auf Seiten der Betroffenen, hervorrufen werden. Das finale Gesetz wurde, im Vergleich zum Entwurf, an einigen Stellen angepasst und zum Teil klar europarechtswidrige Normen wurden geändert oder gestrichen. Dies ist aus Sicht der Praxis zu begrüßen. Dennoch bergen weiterhin mehrere der neuen Regeln des BDSG das Risiko einer Europarechtswidrigkeit in sich. Diese Unsicherheit auf Seiten der Rechtsanwender wird final wohl erst mit entsprechenden Entscheidungen des EuGH, so es denn zu diesen kommt, beseitigt werden können. Andererseits ist dem Gesetzgeber zuzugestehen, dass er soweit als möglich die „alte Linie“ des BDSG beibehalten und bewährte Regelungen in das neue Datenschutzrecht retten wollte. Viele der nun im BDSG vorhandenen Vorgaben sollten datenverarbeitenden Stellen daher bereits bekannt sein.
Ich hoffe, dass ich den Ratsuchenden und sich teilweise durch das Dickicht der datenschutzrechtlichen Regelungen Kämpfenden mit diesem Kommentar wertvolle, praktische und zielführende Anregungen, Erläuterungen und auch Lösungen liefern kann. Auch ich selbst habe bei der Erstellung des Kommentars und auch in meiner praktischen beratenden Arbeit jeden Tag neue Probleme entdeckt und interessante Erkenntnisse gewonnen. Gerade in den nächsten Jahren dürfte sich für alle mit dem Datenschutzrecht auf die ein oder andere Weise befassten Stellen das Sprichwort bewahrheiten: Man lernt nie aus. In diesem Sinne wünsche ich Ihnen eine angenehme und anregende Lektüre und Arbeit mit diesem Werk.
Für die unendliche Geduld und mir eröffneten Freiräume, die für die Erstellung dieses Kommentars erforderlich waren, möchte ich herzlich meiner Frau und meinem Sohn danken. Ihnen ist dieses Werk gewidmet.
|
Berlin, September 2017 |
Dr. Carlo Piltz |
|
aA |
andere Ansicht |
|
Abs. |
Absatz |
|
AEUV |
Vertrag über die Arbeitsweise der Europäischen Union |
|
aF |
alte Fassung |
|
AkkStelleG |
Akkreditierungsstellengesetz |
|
AO |
Abgabenordnung |
|
ArbG |
Arbeitsgericht |
|
ArbRAktuell |
Arbeitsrecht Aktuell |
|
Art. |
Artikel |
|
Aufl. |
Auflage |
|
BAG |
Bundesarbeitsgericht |
|
BauGB |
Baugesetzbuch |
|
BayLDA |
Bayerisches Landesamt für Datenschutzaufsicht |
|
BDSG |
Bundesdatenschutzgesetz in der Fassung des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) vom 30. Juni 2017 (BGBl. I S. 2097) |
|
BDSG aF |
Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 7 des Gesetzes vom 30. Juni 2017 (BGBl. I S. 2097) geändert worden ist |
|
Beschl. |
Beschluss |
|
BfDI |
Bundesbeauftragte/r für Datenschutz und Informationsfreiheit |
|
BGB |
Bürgerliches Gesetzbuch |
|
BGBl. |
Bundesgesetzblatt |
|
BGH |
Bundesgerichtshof |
|
BRAO |
Bundesrechtsanwaltsordnung |
|
BR-Drs. |
Bundesratdrucksache |
|
BT-Drs. |
Bundestagdrucksache |
|
BVerwG |
Bundesverwaltungsgericht |
|
bzw. |
beziehungsweise |
|
DAkkS |
Deutsche Akkreditierungsstelle |
|
DSAnpUG-EU |
Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU) |
|
DSB |
Datenschutzbeauftragte/r |
|
DSGVO |
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) |
|
DSRL |
Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr |
|
e.V. |
eingetragener Verein |
|
Ed. |
Edition |
|
EDSA |
Europäischer Datenschutzausschuss |
|
EGMR |
Europäischer Gerichtshof für Menschenrechte |
|
EMRK |
Europäische Konvention zum Schutz der Menschenrechte und Grundfreiheiten |
|
ErwG |
Erwägungsgrund |
|
EU |
Europäische Union |
|
EuGH |
Gerichtshof der Europäischen Union |
|
EUR |
Euro |
|
EUV |
Vertrag über die Europäische Union in der Fassung des Vertrags von Lissabon, 13.12.2007 |
|
EuZW |
Europäische Zeitschrift für Wirtschaftsrecht |
|
EWR |
Der Europäische Wirtschaftsraum |
|
f. |
folgende |
|
ff. |
fortfolgende |
|
Fn. |
Fußnote |
|
GewO |
Gewerbeordnung |
|
GG |
Grundgesetz |
|
GrCH |
Charta der Grundrechte der Europäischen Union, 2010/C 83/02 |
|
GVG |
Gerichtsverfassungsgesetz |
|
GWB |
Gesetz gegen Wettbewerbsbeschränkungen |
|
HS |
Halbsatz |
|
ieS |
im eigentlichen Sinn |
|
iRd |
im Rahmen des |
|
iSd |
im Sinne des |
|
iSv |
im Sinne von |
|
iVm |
in Verbindung mit |
|
JI-RL |
Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgungvon Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates |
|
K&R |
Kommunikation und Recht |
|
krit. |
kritisch |
|
LAG |
Landesarbeitsgericht |
|
LfDI |
Landesbeauftragte/r für Datenschutz und Informationsfreiheit |
|
LG |
Landgericht |
|
LT-Drs. |
Landtagdrucksache |
|
mwN |
mit weiteren Nachweisen |
|
NJW |
Neue Juristische Wochenschrift |
|
NJW-Spezial |
Neue Juristische Wochenschrift Spezial |
|
Nr. |
Nummer |
|
NVwZ |
Neue Zeitschrift für Verwaltungsrecht |
|
NZA |
Neue Zeitschrift für Arbeitsrecht |
|
OLG |
Oberlandesgericht |
|
OVG |
Oberverwaltungsgericht |
|
OWiG |
Gesetz über Ordnungswidrigkeiten |
|
PinG |
Privacy in Germany |
|
Rn. |
Randnummer |
|
Rz. |
Randziffer |
|
SGB |
Sozialgesetzbuch |
|
StGB |
Strafgesetzbuch |
|
StPO |
Strafprozessordnung |
|
Urt. |
Urteil |
|
VG |
Verwaltungsgericht |
|
vgl. |
vergleiche |
|
VwGO |
Verwaltungsgerichtsordnung |
|
VwVfG |
Verwaltungsverfahrensgesetz |
|
VwVG |
Verwaltungs-Vollstreckungsgesetz |
|
WpÜG |
Wertpapiererwerbs- und Übernahmegesetz |
|
z.B. |
zum Beispiel |
|
ZD |
Zeitschrift für Datenschutz |
|
ZPO |
Zivilprozessordnung |
Übersicht
I. Einleitung
II. Europarechtliche Aspekte
1. Anwendung der Charta der Grundrechte der Europäischen Union
2. Anwendungsvorrang der DSGVO
3. Regelungsspielraum des deutschen Gesetzgebers
4. Mögliche Europarechtswidrigkeit einzelner Bestimmungen und Folgen
a) Europäisches Normwiederholungsverbot
b) Verstoß gegen den EU-Vertrag durch Schaffung rechtlicher Unsicherheit
c) Nichtanwendung des BDSG durch deutsche Behörden?
1
Das Ziel der EU-Datenschutz-Grundverordnung (DSGVO)1 ist die Vollharmonisierung der Regelungen bei der Verarbeitung personenbezogener Daten in allen Mitgliedstaaten der Europäischen Union (EU).2 Die oft zitierte Zielvorgabe „One continent, one law“ wird jedoch mit der DSGVO nicht in Gänze erreicht. Zwar wird ab dem 25.5.2018 ein unmittelbar anwendbares „Datenschutzgesetz“ in der EU existieren. Jedoch erlaubt es die DSGVO den Mitgliedstaaten an vielen Stellen weiterhin, nationale Regelungen vorzusehen. Die DSGVO ähnelt in Teilen daher eher einer europäischen Richtlinie, deren Regelungen nicht unmittelbar anwendbar sind, sondern erst nationalstaatlich umgesetzt werden müssen.3 Über diese in der DSGVO enthaltenen Öffnungsklauseln, die zum Teil einen obligatorischen Regelungsauftrag erteilen, zum Teil fakultative Handlungsmöglichkeiten eröffnen, wird das Datenschutzrecht in Zukunft in Europa also auch von einer Gemengelage aus europäischem und nationalem Recht geprägt sein. Ab dem 25.5.2018 werden datenverarbeitende Stellen, betroffene Personen, Aufsichtsbehörden und auch Gerichte also mit mehreren, ineinander greifenden Ebenen aus europäischen und nationalen Vorgaben (nicht nur jenen in Deutschland) konfrontiert sein. Ob dies im Ergebnis zu mehr oder weniger Rechtssicherheit in der Praxis führen wird, hängt auch maßgeblich davon ab, wie die Regelungen der nationalen Datenschutzgesetze ausgestaltet sind und wie sich diese in das Gesamtregelungskonzept der DSGVO einfügen. Wichtig ist, dass das neue deutsche Gesetz das Ziel hat, harmonische, verständliche und praxistaugliche Regelungen zu schaffen, um Rechtsanwender und Betroffene nicht mit noch mehr Rechtsunsicherheit (die bereits allein mit Blick auf die Anwendungen der DSGVO besteht) zu belasten. Leider konnte der deutsche Gesetzgeber dieses Ziel nicht in Gänze erreichen.
2
Das neue deutsche Bundesdatenschutzgesetz (BDSG)4 tritt nach Art. 8 Abs. 1 DSAnpUG-EU am 25.5.2018 in Kraft. Gleichzeitig tritt das bisher geltende Bundesdatenschutzgesetz (BDSG aF) in der Fassung der Bekanntmachung vom 14.1.2003 (BGBl. I S. 66) außer Kraft. Mit Anwendbarkeit der DSGVO wird es also in Deutschland auch ein neues BDSG geben. Wesentliches Ziel der Neuregelung ist die Konsolidierung des allgemeinen Datenschutzrechts unter den Vorgaben der DSGVO und der JI-RL5 im Sinne einer homogenen Regelung, um eine Rechtszersplitterung, aber auch eine weitere Verkomplizierung des ohnehin schon komplexen Datenschutzrechts zu vermeiden.6
3
Deutschland ist der erste Mitgliedstaat der EU, der sein nationales Datenschutzrecht an die Vorgaben der DSGVO angepasst hat. Auch aus diesem Grund wurde das Gesetzgebungsverfahren zum BDSG zum einen von der Europäischen Kommission, zum anderen aber auch von anderen Mitgliedstaaten, denen ähnliche Regelungsaufgaben bevorstehen, mit Interesse beobachtet.7
4
Die Bestimmungen zur Ausgestaltung der DSGVO enthalten aus Sicht der Unternehmen die folgenden relevanten Regelungsschwerpunkte: Vorgaben zum sachlichen und räumlichen Anwendungsbereich (§ 1 BDSG); Schaffung einer allgemeinen Rechtsgrundlage für die Videoüberwachung (§ 4 BDSG); Festlegung der deutschen Vertretung im Europäischen Datenschutzausschuss (§§ 17 bis 19 BDSG); Rechtsbehelfe (§§ 20, 21 BDSG); Schaffung einer Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten (§ 22 BDSG); Festlegung der Zulässigkeitsvoraussetzungen für Verarbeitungen zu anderen Zwecken durch nichtöffentliche Stellen (§ 24 BDSG); Regelung weiterer besonderer Verarbeitungssituationen (§§ 26 bis 31 BDSG); Regelungen zu den Betroffenenrechten (§§ 32 bis 37 BDSG); Regelungen zum Datenschutzbeauftragten (§ 38 BDSG); Regelungen zur Zuständigkeit und den Befugnissen der Aufsichtsbehörden (§ 40 BDSG); Verhängung von Geldbußen bei Verstößen gegen die DSGVO (§§ 41, 43 BDSG).
5
Wichtig für das Verständnis der Gesetzessystematik ist, dass das BDSG in § 1 Abs. 1 und in den gesamten Regelungen an der Unterscheidung zwischen öffentlichen und nichtöffentlichen Stellen des BDSG aF festhält. Diese Differenzierung ist so nicht in der DSGVO angelegt, wird von den europäischen Vorgaben aber auch nicht ausgeschlossen. Unternehmen und andere privatrechtliche Vereinigungen haben sich an die Regeln für nichtöffentliche Stellen zu halten.
6
Ab dem 25.5.2018 sind in der Praxis im Ergebnis drei Regelungsbereiche für das Datenschutzrecht in Deutschland maßgeblich: die DSGVO, das neue BDSG sowie das bereichsspezifische Datenschutzrecht.8 Die Komplexität des Datenschutzrechts wird hierdurch wohl nicht ab-, sondern eher zunehmen.
7
Zwar eröffnet der europäische Gesetzgeber den Mitgliedstaaten mit den in der DSGVO enthaltenen Öffnungsklauseln und Spezifizierungsmöglichkeiten einen Gestaltungsspielraum für die Beibehaltung bzw. Schaffung eigener nationaler Regelungen im Datenschutzrecht. Jedoch darf hieraus nicht der Schluss gezogen werden, dass im Fall der Anwendung des nationalen Datenschutzrechts allein die jeweilige nationale Verfassung und nationale Grundrechte zu beachten wären, insbesondere, wenn es um die Auslegung und Anwendung des nationalen Datenschutzrechts geht. Denn auch wenn den Mitgliedstaaten Ermessen bzw. Gestaltungsspielräume eingeräumt worden sind, ist der Anwendungsbereich der EU-Grundrechtecharta (GrCH)9 in diesen Fällen gem. Art. 51 Abs. 1 S. 1 GrCH eröffnet.10 So hat der EuGH zur nationalen Ausgestaltung in Umsetzung einer EU-Richtlinie entschieden, dass die Mitgliedstaaten die Erfordernisse des Schutzes der in der Gemeinschaftsrechtsordnung anerkannten allgemeinen Grundsätze, zu denen auch die Grundrechte zählen, bei der Durchführung gemeinschaftsrechtlicher Regelungen zu beachten haben.11 Nach Art. 51 Abs. 1 S. 1 GrCH gilt die Charta für die Mitgliedstaaten ausschließlich bei der Durchführung des Rechts der Union. Der Rechtsprechung des EuGH ist eindeutig zu entnehmen, dass die Verpflichtung zur Einhaltung der im Rahmen der Union definierten Grundrechte für die Mitgliedstaaten nur dann gilt, wenn sie im Anwendungsbereich des Unionsrechts handeln.12
8
Die Frage, ob ein Mitgliedstaat europäisches Recht durchführt, stellt sich zumeist in Bezug auf die Umsetzung von europäischen Richtlinien. Doch auch im Fall einer Verordnung, wie dies hier mit der DSGVO der Fall ist, kann eine Situation entstehen, in der der europäische Gesetzgeber den Mitgliedstaaten entweder Regelungsmöglichkeiten oder aber Regelungsaufträge erteilt. Sowohl im einen als auch im anderen Fall führen die Mitgliedstaaten das Recht der Union durch, wenn sie der Grundlage der Öffnungsklauseln der Verordnung nationales Recht schaffen.
9
Die europäischen Grundrechte sind also auch bei der Anwendung und Auslegung des BDSG zu beachten, da der deutsche Gesetzgeber bei der Schaffung des BDSG zum ganz überwiegenden Teil im Anwendungsbereich des Unionsrechts agiert. Mit dem BDSG führt der deutsche Gesetzgeber also gemeinschaftsrechtliche Regelungen durch. Aus diesem Grund wurde auch im Gesetzgebungsprozess zum BDSG stets die Frage aufgeworfen, inwieweit bestimmte Regelungen des BDSG europarechtswidrig sind, weil sie nicht den Vorgaben der DSGVO entsprechen.
10
Für eine adäquate Anwendung und damit eventuell erforderliche Auslegung des BDSG ist es unerlässlich, die Grenzen zu kennen, in denen sich der deutsche Gesetzgeber bewegt, wenn er die Öffnungsklauseln der DSGVO im neuen BDSG mit Leben füllt und der Rechtsanwender in der Praxis sich die Frage stellt, welche Regelung im Zweifel gilt.
11
Treffen in der Praxis nationale und europäische Regelungen aufeinander, gilt ein Anwendungsvorrang des europäischen vor nationalem Recht.13 Bei einem Widerspruch der nationalen Norm gegenüber der unmittelbar anwendbaren europäischen Regelung genießt Letztere Anwendungsvorrang. Nationales Recht ist nicht nichtig, da die EU und damit der EuGH für eine solche Nichtigkeitserklärung und Verwerfung nationalstaatlichen Rechts keine Kompetenz haben. Aber nationale Stellen (sowohl Behörden als auch Gerichte) müssen im Fall einer Kollision nationales Recht unangewendet lassen.
12
Für den Anwender des BDSG wird sich daher stets die Frage stellen, ob bei den vorliegenden Regelungen eine solche Kollision vorliegt und damit das BDSG nicht anwendbar wäre. Es dürfte klar sein, dass es das Ziel des deutschen Gesetzgebers hätte sein müssen, diese Situation zu vermeiden. Völlig gelungen ist es ihm, zum Leidwesen der Praxis, jedoch nicht.
13
Dieser Konflikt europäischen Rechts mit nationalem Recht und der damit einhergehende Anwendungsvorrang des EU-Rechts entsteht dann, wenn eine direkte oder auch indirekte Kollision gesetzlicher Regelungen vorliegt.14 Damit eine solche Kollision entsteht, muss die EU-Vorgabe unmittelbar anwendbar sein, was bei der DSGVO nach Art. 288 Abs. 2 AEUV der Fall ist. Zudem muss aber auch die Regelung selbst (im Sinne des konkreten Artikels und seines Wortlauts) derart gestaltet sein, dass sie im Mitgliedstaat unmittelbar angewendet werden kann. Hierzu ist erforderlich, dass die Norm hinreichend bestimmt und unbedingt formuliert ist. Für viele der Öffnungsklauseln der DSGVO trifft dieses Merkmal nicht zu, da dem nationalen Gesetzgeber, etwa hinsichtlich bestimmter Verarbeitungssituationen, nur der Rahmen an die Hand gegeben wird, den er bei der Schaffung nationaler Regelungen zu beachten hat. Innerhalb dieses Rahmens können und müssen aber nationale Datenschutzregelungen geschaffen werden, die neben der DSGVO zur Konkretisierung und Spezifizierung eben dieser zur Anwendung kommen. Solange eine europäische Norm einen Sachverhalt nicht abschließend regelt, können auch nationale Regelungen bestehen bleiben und insbesondere auch eigene Vorgaben vorsehen. Ein Konflikt mit europäischem Recht existiert dann also nicht, wenn die EU-Norm einen Sachverhalt gar nicht selbst regelt bzw. aufgrund mangelnder Gesetzgebungskompetenz auf europäischer Ebene nicht selbst regeln darf. Kein Konflikt besteht auch dann, wenn kein Widerspruch zwischen nationaler und europäischer Norm existiert.15
14
Zudem muss bei der Frage, ob ein Konflikt von EU- und nationalem Recht besteht, stets der Anwendungsbereich der DSGVO beachtet werden. Ein Konflikt mit ihren Regelungen ist nur möglich, soweit sich eine nationale Norm innerhalb des sachlichen Anwendungsbereichs der DSGVO bewegt, der sich konkret aus Art. 2 DSGVO ergibt.
15
Es bleibt mithin festzuhalten, dass unter Geltung der DSGVO weiterhin die Schaffung und Beibehaltung nationaler Regelungen möglich ist, ja teilweise sogar verpflichtend vorgeschrieben wird. Soweit diese nationalen Regelungen die Gestaltungsspielräume der DSGVO (und die dort jeweils aufgestellten Voraussetzungen, etwa in Art. 6 Abs. 3 und Abs. 4 DSGVO) erfüllen und nicht im Widerspruch zu den Zielvorgaben der DSGVO stehen, können sie angewendet werden.16
16
Das neue BDSG dient der Umsetzung der fakultativen und obligatorischen Regelungsaufträge. Die Öffnungsklauseln der DSGVO stellen sich in verschiedenen Varianten dar. Sie erlauben die Konkretisierung, die Ergänzung und auch die Modifikation der Vorgaben der DSGVO.
17
Im Rahmen dieser Öffnungsklauseln ist es den nationalen Gesetzgebern jedoch nicht grundsätzlich gestattet, Spezifizierungen in der Art vorzunehmen, dass ein höheres Schutzniveau als jenes der DSGVO geschaffen wird. Dies zumindest soweit, wie eine Erhöhung des Schutzniveaus nicht durch die Vorgaben der DSGVO selbst vorgesehen ist.17 Dies ergibt sich zum einen aus den Arbeitsdokumenten des Rates zur DSGVO.18 Insbesondere Art. 6 Abs. 2 und 3 DSGVO erlauben es den Mitgliedstaaten nicht, ein gegenüber der DSGVO höheres Schutzniveau zu schaffen.19 Die Europäische Kommission weist zum anderen in ihrer Mitteilung zum Standpunkt des Rates darauf hin, dass die Einigung den Mitgliedstaaten Spielraum für eine Spezifizierung der Datenschutzvorschriften für den öffentlichen Sektor lässt.20 Ein höheres Schutzniveau, insbesondere durch strengere Regelungen als sie in der DSGVO existieren, ist damit vor allem für Verarbeitungen im öffentlichen Sektor nicht gestattet. Diese Schlussfolgerungen lassen sich auch mit Blick auf den Sinn und Zweck der DSGVO und insbesondere ihren Verordnungscharakter begründen. Die Verordnung soll gerade ein einheitliches Schutzniveau schaffen, von dem nicht jeder Mitgliedstaat beliebig, sondern nur in ausdrücklich gesetzlich geregelten Fällen nach unten21 abweichen darf. Andernfalls hätte es des Instruments der Verordnung nicht bedurft. Selbst für EU-Richtlinien hat der EuGH anerkannt, dass bei einer intendierten Vollharmonisierung strengere Vorschriften nicht angewendet werden dürfen.22 Schutzbereich und -niveau nationaler Umsetzungsregelungen müssen in diesem Fall identisch oder zumindest gleichwertig sein.23 Ähnlich stellt sich die Situation unter der DSGVO dar, die dem Grunde nach eine verbindliche Verordnung ist, jedoch an eine Richtlinie erinnernde Umsetzungsmöglichkeiten für Mitgliedstaaten eröffnet.24 Der Harmonisierungscharakter der DSGVO kann aber nur mit jenem der Vollharmonisierung einer Richtlinie verglichen werden, in deren Grenzen und nicht darüber hinausgehend, nationale Spezifizierungen möglich sind.
18
In der öffentlichen Diskussion um das neue BDSG wurde oft kritisiert, dass die Bundesregierung das Datenschutzniveau der DSGVO absenken möchte und dass dies nicht zulässig sei. Man muss es klar sagen: Die Absenkung des Schutzniveaus bei der Verarbeitung personenbezogener Daten nach unten, insbesondere durch die Einschränkung der Betroffenenrechte (Art. 23 DSGVO), ist vom europäischen Gesetzgeber vorgesehen, gewollt und nicht unzulässig, solange die Vorgaben der DSGVO eingehalten werden. Der juristische Dienst des Rates der Europäischen Union stellt hierzu fest:25
„...the Commission has accepted that there will be different levels of data protection in the draft regulation as it has proposed, and this has been accepted, that member States could be allowed to derogate from the harmonised level of protection by providing a lower protection in certain cases“. (Hervorhebung durch den Autor)
19
Mit den Vorschlägen der Beschränkung von Betroffenenrechten im BDSG wird also per se nicht gegen die DSGVO verstoßen. Dem nationalen Gesetzgeber sind beschränkende Maßnahmen nach Art. 23 DSGVO ausdrücklich gestattet. Die Frage ist freilich, ob die Beschränkungen die in der DSGVO hierfür aufgestellten Anforderungen erfüllen.
20
Mit dem europäischen Wiederholungsverbot soll verhindert werden, dass die allein dem EuGH zustehende Kompetenz zur Auslegung des Unionsrechts durch den Erlass gleichlautender nationaler Vorschriften begrenzt wird.26 Mitgliedstaaten sind generell verpflichtet, nicht die unmittelbare Geltung zu vereiteln, die Verordnungen und sonstige Vorschriften des Gemeinschaftsrechts äußern.27 Das Wiederholungsverbot ist eine Ausprägung dieses Verbots. Die Mitgliedstaaten dürfen nach der Rechtsprechung des EuGH keine Maßnahmen ergreifen, die geeignet sind, die Zuständigkeit des EuGH zur Entscheidung über Fragen der Auslegung des Gemeinschaftsrechts oder der Gültigkeit der von den Organen der Gemeinschaft vorgenommenen Handlungen zu beschneiden. Infolgedessen sind Praktiken unzulässig, durch die die Normadressaten über den Gemeinschaftscharakter einer Rechtsnorm im Unklaren gelassen werden.28
21
Jedoch ist für den Fall von Spezifizierungs- bzw. Öffnungsklauseln anerkannt, dass für diesen Bereich der Öffnung des europäischen Rechts für eigene Regelungen des nationalen Gesetzgebers dieser auch Teile des Wortlautes der europäischen Verordnung übernehmen darf, um die nationale Regelung klarer zu gestalten.29 Für eine Befugnis des deutschen Gesetzgebers, Teile der DSGVO und dort enthaltene Vorgaben der Öffnungsklauseln im nationalen Recht zu wiederholen, spricht zudem auch ErwG 8 DSGVO. Danach können die Mitgliedstaaten, wenn in der DSGVO Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, Teile der DSGVO in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen. Soweit das BDSG gewisse den DSGVO-Text wiederholende Vorschriften enthält, ist dies mithin nicht von vornherein unzulässig.30
22
Aus dem Anwendungsvorrang des unmittelbar anwendbaren europäischen Rechts ergibt sich für den deutschen Gesetzgeber ein im Rahmen des BDSG besonders zu beachtendes Risiko: Nach der Rechtsprechung des EuGH ergeben „sich aus der Einführung oder unveränderten Beibehaltung einer gegen eine Vorschrift des Gemeinschaftsrechts verstoßenden Bestimmung in den Rechtsvorschriften eines Mitgliedstaats, selbst wenn diese Gemeinschaftsvorschrift in der Rechtsordnung der Mitgliedstaaten unmittelbar gilt, Unklarheiten tatsächlicher Art, weil die betroffenen Normadressaten bezüglich der ihnen eröffneten Möglichkeiten, sich auf das Gemeinschaftsrecht zu berufen, in einem Zustand der Ungewissheit gelassen werden. Eine solche Beibehaltung stellt deshalb eine Verletzung der Verpflichtungen des genannten Mitgliedstaats aus dem EWG-Vertrag dar“.31 Nach Art. 4 Abs. 3 EUV sind die Mitgliedstaaten verpflichtet, die Union bei der Erfüllung ihrer Aufgabe zu unterstützen und müssen alle Maßnahmen unterlassen, die die Verwirklichung der Ziele der Union gefährden könnten. Eine solche Gefährdung kann sich aus gegen die DSGVO verstoßende Normen im neuen BDSG ergeben, sollten diese im Widerspruch zur Verordnung stehen.32
23
Aus dem vorstehend beschriebenen Anwendungsvorrang des EU-Rechts im Konfliktfall kann sich für deutsche Datenschutzbehörden das Problem ergeben, mit, zumindest ihrer Meinung nach, europarechtswidrigen Regelungen des BDSG konfrontiert zu sein, die sie aufgrund ihrer Bindung an die Gesetze (Art. 20 Abs. 3 GG) eigentlich anwenden müssten.33 Die Vorsitzende der Datenschutzkonferenz von Bund und Ländern, Barbara Thiel, hat hierzu festgestellt, dass für die Aufsichtsbehörden das Europarecht in jedem Fall bindend ist und die Aufsichtsbehörden sich in ihren Auslegungsprinzipien deshalb an der Datenschutz-Grundverordnung zu orientieren haben.34
24
Diese Problematik der (Nicht-)Anwendung von möglicherweise europarechtswidrigen Normen ist nicht neu. Wichtig ist jedoch, zunächst klar zu stellen, dass es nicht um die Frage geht, ob eine Behörde eine nationale Norm als ungültig erklären darf (sog. Normverwerfung), sondern um die Frage der Nichtanwendung nationaler Regelungen.
25
Es geht mithin um die Frage, ob und gegebenenfalls unter welchen Voraussetzungen einer nationalen Behörde prinzipiell die Befugnis zusteht, Vorschriften nationalen Rechts im Falle der von ihr so beurteilten Gemeinschaftswidrigkeit mit unmittelbar anwendbarem EU-Recht außer Anwendung zu lassen.35
26
Der EuGH hat sich in der Vergangenheit oft mit dieser Frage befasst. In seiner Entscheidung vom 22.6.1989 ist er im Fall einer EU-Richtlinie und einer damit nicht in Einklang stehenden nationalen Regelung zu dem Ergebnis gelangt, dass eine Nichtanwendungspflicht jedenfalls dann besteht, wenn sich der Einzelne auf die gemeinschaftsrechtliche Bestimmung berufen kann.36 Im Fall der hier vorliegenden DSGVO kann sich jeder Adressat bereits ipso iure auf ihre Regelungen berufen. Der Vorrang des Gemeinschaftsrechts bedeutet im Fall der Normenkollision eine Verpflichtung zur Nichtanwendung des nationalen Rechts und auch die öffentliche Verwaltung ist verpflichtet, nationale Regelungen, die mit den europäischen unvereinbar sind, nicht anzuwenden.37
27
In einem weiteren Verfahren vor dem EuGH ging es um die italienische Wettbewerbsbehörde, die nationale Regelungen zum gesetzlichen Zündholzsystem Italiens auf deren Vereinbarkeit mit den Vorgaben des EU-Rechts prüfte, und die italienischen Regelungen, dies ist besonders hervorzuheben, vor jeder gerichtlichen Feststellung als gemeinschaftswidrig einstufte. Der EuGH entschied in diesem Fall, dass „die Pflicht, eine dem Gemeinschaftsrecht entgegenstehende nationale Rechtsvorschrift unangewendet zu lassen, nicht nur den nationalen Gerichten obliege, sondern allen staatlichen Organen einschließlich der Verwaltungsbehörden“.38
28
Aus der Formulierung „alle Verwaltungsbehörden“ folgt, dass die genannte Nichtanwendungspflicht sich an alle zuständigen staatlichen Träger richtet.39 Gehen also etwa in Zukunft die deutschen Datenschutzbehörden von der Europarechtswidrigkeit einer Norm des BDSG aus, so ist es ihnen gestattet, die nationale Regelung unangewendet zu lassen.40 Jedoch ist darauf hinzuweisen, dass eine solche Situation und Vorgehensweise wohl insbesondere für datenverarbeitende Unternehmen ein erhebliches rechtliches Risiko darstellt und der effektiven Umsetzung des neuen Datenschutzrechts in Deutschland einen Bärendienst erweisen würde. Zudem besteht aus Sicht der Behörde das Risiko, eine nationale Norm unangewendet zu lassen, die im Ergebnis, etwa in einem anschließenden Verwaltungsgerichtsprozess mit Vorlage an den EuGH, als europarechtskonform eingestuft wird.
29
Im Übrigen geht auch das BVerwG davon aus, dass der Anwendungsvorrang von EU-Recht es für die Zeit des „Widerspruchs“ verbietet, die entgegenstehenden Bestimmungen des nationalen Rechts einer behördlichen oder gerichtlichen Entscheidung zugrunde zu legen.41
30
Aus Art. 20 Abs. 3 GG lässt sich nicht herleiten, dass eine Verwaltungsbehörde unmittelbar geltendes Gemeinschaftsrecht unangewendet lassen muss, um entgegenstehendem nationalen Recht den Vorrang zu verschaffen.42 Bindung an Recht und Gesetz bedeutet im Falle des Anwendungsvorrangs von unmittelbar geltendem Gemeinschaftsrecht eine Bindung (auch) an das europäische Recht. Wie beschrieben, sind alle nationalen Behörden an unmittelbar geltendes EU-Recht gebunden. Hieraus folgt auch, dass das Gewaltenteilungsprinzip des Art. 20 GG nicht verletzt sein kann.43
31
Natürlich lässt sich diese Rechtsprechung des EuGH auch kritisieren, da es, mit Blick auf die fehlende Möglichkeit von Behörden im Vergleich zu den Gerichten, ein Vorabentscheidungsersuchen an den EuGH zu stellen, zweifelhaft erscheinen kann, warum sie dennoch verpflichtet sind, inländische Bestimmungen nicht anzuwenden.44 Die Exekutive ist nicht befugt, gesetzliche Regelungen für ungültig zu erklären. Dies obliegt der Judikative. Es wird daher vermittelnd vorgeschlagen, nationalen Behörden die Nichtanwendung nationaler Normen dann zu gestatten, wenn die Gemeinschaftsrechtswidrigkeit evident ist.45 Dennoch ist festzuhalten, dass die Rechtsprechung des EuGH in dieser Frage zur Nichtanwendung nationaler Normen gefestigt erscheint. In derartigen Situationen, in denen eine deutsche Datenschutzbehörde in Zukunft möglicherweise Bestimmungen des BDSG nicht anwenden möchte, sollte daher die eben zitierte vermittelnde Ansicht Beachtung finden. Möchte eine Datenschutzbehörde nationale Normen nicht anwenden, sollte in jedem Fall eine Überzeugungsgewissheit über den Verstoß nationaler Bestimmungen gegen vorrangiges Gemeinschaftsrecht als erforderlich, wohl aber auch als ausreichend erachtet werden. Nicht ausreichend wäre eine bloße Vermutung der Gemeinschaftswidrigkeit.46
(1) 1 Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch
1. öffentliche Stellen des Bundes,
2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie
a) Bundesrecht ausführen oder
b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.
2 Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
(2) 1 Andere Rechtsvorschriften des Bundes über den Datenschutz gehen den Vorschriften dieses Gesetzes vor. 2 Regeln sie einen Sachverhalt, für den dieses Gesetz gilt, nicht oder nicht abschließend, finden die Vorschriften dieses Gesetzes Anwendung. 3 Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.
(3) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.
(4) 1 Dieses Gesetz findet Anwendung auf öffentliche Stellen. 2 Auf nichtöffentliche Stellen findet es Anwendung, sofern
1. der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet,
2. die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung des Verantwortlichen oder Auftragsverarbeiters erfolgt oder